Windows 10 Creators Ažuriranje poboljšanja sigurnosti uključuju poboljšanja u programu Windows Defender Advanced Threat Protection. Ta poboljšanja bi korisnicima zaštitila od prijetnji poput Kovtera i Dridex Trojans, kaže Microsoft. Eksplicitno, Windows Defender ATP može otkriti tehnike injektiranja koda povezane s tim prijetnjama, kao što je Proces hvatanja i Atom Bombing, Već koriste mnoge druge prijetnje, te metode omogućuju zlonamjernom softveru zaraziti računala i sudjelovati u raznim odvratnim aktivnostima, dok ostaje tajno.
Proces hvatanja
Proces razmnožavanja novog primjeraka legitimnog procesa i "istiskivanje" poznat je kao proces hvatanja. Ovo je u osnovi tehnika kodiranja koda u kojoj je pravni kôd zamijenjen zlonamjernim softverom. Druge tehnike ubrizgavanja jednostavno dodaju zlonamjernu osobinu legitimnom postupku, a isprepliće se u procesu koji se čini legitimnim, ali prvenstveno je zlonamjeran.
Procesna šupljina koju koristi Kovter
Microsoft obrađuje proces unošenja kao jedan od najvećih problema, koristi ga Kovter i razne druge zlonamjerne obitelji. Ta je tehnika koristila zlonamjerne obitelji u napadima bez datoteka, pri čemu zlonamjerni program ostavlja zanemarive tragove na disku i pohranjuje i izvršava kod samo iz memorije računala.
Kovter, obitelj trojanskih klikovnih prijevara koje su nedavno primijetili povezujući se s obitelji otkupnine, poput Lockyja. Prošle godine, u studenom Kovteru, pronađeno je odgovorno za masivnu šiljku u novim varijantama malwarea.
Kovter se isporučuje uglavnom putem e-pošte za krađu identiteta, skriva većinu svojih zlonamjernih komponenti pomoću ključeva registra. Zatim Kovter koristi izvorne aplikacije za izvršavanje koda i izvršenje injekcije. Postiže postojanost dodavanjem prečaca (.lnk datoteka) u mapu za pokretanje ili dodavanjem novih ključeva u registar.
Zlonamjerni softver dodaje dva registarska unosa kako bi otvorio njezinu komponentnu datoteku legitimnim programom mshta.exe. Komponenta ekstrahira zamagljen nosivost od trećeg ključa registra. Skriptu PowerShell koristi se za izvršavanje dodatne skripte koja injektira shellcode u ciljni proces. Kovter koristi procesne šupljine za ubrizgavanje malicioznog koda u legitimne procese kroz ovaj shellcode.
Atom Bombing
Atom Bombing je još jedna tehnika ubrizgavanja šifri koje Microsoft tvrdi da blokira. Ova se tehnika oslanja na zlonamjerni softver koji pohranjuje zlonamjerni kôd unutar atomske tablice. Te tablice dijele zajedničke memorijske tablice gdje svi programi pohranjuju informacije o žicama, objektima i drugim vrstama podataka koji zahtijevaju dnevni pristup. Atom Bombing koristi asinkroni postupak pozive (APC) za preuzimanje koda i umetanje u memoriju ciljnog procesa.
Dridex je rani usvojitelj atomskog bombardiranja
Dridex je bankarski špijun koji je prvi put uočen u 2014. godini i bio je jedan od prvih usvojitelja atomskog bombardiranja.
Dridex se uglavnom distribuira putem neželjene pošte, prvenstveno je dizajniran da ukrade bankovne vjerodajnice i osjetljive informacije. On također onemogućuje sigurnosne proizvode i pruža napadačima daljinski pristup žrtvama računala. Prijetnja ostaje nepopustljiva i tvrdoglav zbog izbjegavanja zajedničkih API poziva povezanih s tehnikama ubrizgavanja kodova.
Kada se Dridex izvodi na žrtvinom računalu, traži ciljni proces i osigurava da se ovaj proces učita user32.dllom. To je zbog toga što DLL mora imati pristup potrebnim funkcijama tablice atoma. Nakon toga, zlonamjerni softver piše svoj shellcode na globalnu atomsku tablicu, nadalje dodaje NtQueueApcThread pozive za GlobalGetAtomNameW na red čekanja APC-a ciljnog niza procesa da bi je prisilio da kopira zlonamjerni kod u memoriju.
John Lundgren, Windows Defender ATP istraživački tim, kaže:
“Kovter and Dridex are examples of prominent malware families that evolved to evade detection using code injection techniques. Inevitably, process hollowing, atom bombing, and other advanced techniques will be used by existing and new malware families,” he adds “Windows Defender ATP also provides detailed event timelines and other contextual information that SecOps teams can use to understand attacks and quickly respond. The improved functionality in Windows Defender ATP enables them to isolate the victim machine and protect the rest of the network.”
Microsoft se konačno vidi u rješavanju problema s injektiranjem koda, nadajući se da će tvrtka napokon vidjeti da se ti razvoji dodaju u besplatnu verziju programa Windows Defender.